Une tribune de Alexandre Delcayre de Palo Alto Networks France, sur la protection contre les cyberattaques pour les entreprises et leurs ordinateurs Mac.
Maintenant que 91 % des entreprises utilisent des ordinateurs Mac, les cyberattaques ciblent de plus en plus les appareils de la marque. Le succès des attaques telles que KeRanger, XAgent, MacOSDynamic, Linker Exploitation et l'IoS Trifectadémontre que les terminaux Mac, autrefois estimés intouchables, sont aujourd'hui vulnérables à différents types de logiciels et programmes malveillants.
Tendances et menaces communes visant les Mac
L'équipe de renseignement sur les menaces de l'unité 42 de Palo Alto Networks a observé une augmentation constante du volume des menaces pesant sur le système d'exploitation macOS. Leurs recherches ont permis d'identifier 4 catégories de menaces :
- Programmes potentiellement indésirables et malveillants (PPI)
- Chevaux de Troie et portes dérobées tels qu'OSX/Dok ou Kumar in the Mac (KitM), aussi connu sous le nom de HackBack
- Menaces ciblées comme OceanLotus, Sofacy X-Agent ou MacDownloader
- Outils de piratage tels que PowershellEmpireOSX
Les mécanismes d'infection des points d'extrémité Mac les plus répandus, le hameçonnage et autres courriels, puisent dans les techniques d'ingénierie sociale. Ces courriels contiennent des fichiers zippés et amènent l'utilisateur à installer de fausses applications ayant l'air d'émaner de développeurs Apple légitimes. D'autres intrusions sont menées à l'aide de prétendus logiciels antivirus, et d'attaques malveillantes sous Python.
Garantir la sécurité des Mac face aux nouvelles menaces
Gatekeeper, le dispositif de sécurité intégré au système d'exploitation macOS, est l'une des solutions permettant de contrer ces menaces. Gatekeeper vérifie, avant que les applications téléchargées ne puissent être lancées, qu'elles ont bien été validées ou publiées par un développeur pré-approuvé. Mais la logique de cette approche présente des faiblesses et des vulnérabilités qui peuvent être exploitées, car Gatekeeper ne vérifie la signature numérique des applications qu'immédiatement après la phase d'exécution, permettant aux cybercriminels d'exécuter d'autres processus.
Autre solution : l'utilisation de produits antivirus tiers. Cependant, les difficultés et points faibles déjà connus des antivirus en matière de protection des terminaux Windows, c'est-à-dire une trop grande dépendance sur une comparaison une à une des signatures, des mises à jour en continu, une capacité limitée à la détection des menaces connues et l'impossibilité de faire obstacle aux attaques de type « zero-day », s'appliquent aussi aux équipements Mac.
De nos jours, les menaces prennent différentes formes et proviennent de sources diverses. La protection des terminaux doit donc reposer sur des méthodes multiples pour une prévention optimale. Les programmes malveillants doivent être identifiés et bloqués instantanément s'ils sont déjà connus, ou rapidement et en temps réel avant que l'infection ne se propage au système s'ils sont encore méconnus. Pour ce faire, il est essentiel d'enrichir les capacités de prévention intégrées aux appareils Mac ainsi que Gatekeeper en autorisant l'exécution des programmes uniquement en fonction de la vérification de leurs signatures.
Les assaillants emploient des programmes qui profitent des failles d'un système. Bien souvent, ces points faibles n'ont pas encore été découverts ou corrigés. Ces programmes, même si leurs rangs et types grossissent en permanence, utilisent généralement le même attirail de techniques bien connues, telle que la corruption de mémoire, les erreurs de logique et l'élévation des privilèges. En concentrant les efforts de prévention sur ces techniques de base, la publication immédiate de correctifs d'urgence devient moins nécessaire, et les menaces de programmes « zero-day » sont réduites.
La mise en place de multiples strates de protection à chaque phase critique du cycle de vie des attaques permet de prévenir les maliciels comme les programmes malveillants. Cette approche est d'autant plus efficace si elle s'ajoute à une plateforme qui intègre des capacités de renseignement sur les menaces et assure la protection transversale de silos incompatibles. Les terminaux Mac sont ainsi efficacement protégés des logiciels et programmes malveillants.
Aucun commentaire:
Enregistrer un commentaire